流量检测主机漏洞之困顿

Posted 2020-10-07 huim

几个主机漏洞的环境搭好，等待dpi数据的流入，遗憾的是，dpi今天的配置终于弄好了，持续了两三个星期，而没有数据。现在有数据了，EXP一打，日志出来了，结果并没有buf的内容，只有常规的  源IP源端口，目的IP目的端口，网络层应用层协议，以及一些进出数据量的大小，并没有具体的内容。而且不能用关联，只能用单条日志匹配。所以之前做的漏洞检测大多废了用不上。如果一定要用，只能取发送Buf的bytesIn、bytesOut和bytesAll了。

没有字段是因为大数据分析的数据需要关联分析，所以需要保留，而流量日志不太好照单全收、全部存储，那样数据量太大了。所以，如果一定需要，只能向 dpi端的开发人员提需求，获取发送的数据包的前n个字节的内容，用于检测主机漏洞EXP发送的buf的特征，可以再结合bytesIn bytesOut bytesAll 字段，两个方面一起检测。

大概要转向web端的CMS、框架漏洞了，这方面字段比较多，也不用看二进制，比较容易吧。